Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 3.3.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
3.5
3.5 Securely Dispose of Data
Securely dispose of data as outlined in the enterprise’s data management process. Ensure the disposal process and method are commensurate with the data sensitivity.
Securely dispose of data as outlined in the enterprise’s data management process. Ensure the disposal process and method are commensurate with the data sensitivity.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ОПС.4
ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.5
3.5 Реализовано гарантированное уничтожение данных
Процедура уничтожения данных учитывает уровень их конфиденциальности
Процедура уничтожения данных учитывает уровень их конфиденциальности
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.3.1
3.3.1
Определенные Требования к Подходу:
SAD не сохраняется после авторизации, даже если он зашифрован. Все полученные конфиденциальные аутентификационные данные становятся невосстановимыми после завершения процесса авторизации
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Это требование не распространяется на эмитентов и компании, которые поддерживают услуги выдачи (где SAD необходим для законных бизнес-потребностей выпуска) и имеют бизнес-обоснование для хранения конфиденциальных аутентификационных данных.
Дополнительные требования, конкретно касающиеся эмитентов, см. в Требовании 3.3.3.
Конфиденциальные аутентификационные данные включают данные, указанные в требованиях 3.3.1.1-3.3.1.3.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
SAD не сохраняется после авторизации, даже если он зашифрован. Все полученные конфиденциальные аутентификационные данные становятся невосстановимыми после завершения процесса авторизации
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Это требование не распространяется на эмитентов и компании, которые поддерживают услуги выдачи (где SAD необходим для законных бизнес-потребностей выпуска) и имеют бизнес-обоснование для хранения конфиденциальных аутентификационных данных.
Дополнительные требования, конкретно касающиеся эмитентов, см. в Требовании 3.3.3.
Конфиденциальные аутентификационные данные включают данные, указанные в требованиях 3.3.1.1-3.3.1.3.
Определенные Процедуры Тестирования Подхода:
- 3.3.1.a Если получен SAD, изучите документированные политики, процедуры и конфигурации системы, чтобы убедиться, что данные не сохраняются после авторизации.
- 3.3.1.b Если получен SAD, изучите документированные процедуры и соблюдайте безопасные процессы удаления данных, чтобы убедиться, что данные становятся невосстановимыми после завершения процесса авторизации.
Цель:
SAD очень ценен для злоумышленников, поскольку позволяет им создавать поддельные платежные карты и совершать мошеннические транзакции. Поэтому хранение SAD после завершения процесса авторизации запрещено.
Определения:
Процесс авторизации завершается, когда продавец получает ответ на транзакцию (например, одобрение или отклонение).
SAD очень ценен для злоумышленников, поскольку позволяет им создавать поддельные платежные карты и совершать мошеннические транзакции. Поэтому хранение SAD после завершения процесса авторизации запрещено.
Определения:
Процесс авторизации завершается, когда продавец получает ответ на транзакцию (например, одобрение или отклонение).
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ОПС.4
ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.